3. Если все теперь завязано на компьютеры, то любые предметы превращаются в потенциальные устройства наблюдения. В частности, все новые датчики, обеспечивающие работу интернета вещей, могут предоставлять правоохранительным органам огромные потоки данных, не подвергающихся сквозному шифрованию, что позволит осуществлять наблюдение в реальном времени и иметь возможность обратиться к данным позднее, а при необходимости восстановить их.
Нелицеприятная правда состоит в том, что ФБР растеряло бо́льшую часть своих технических знаний и наработок. До появления сотовых телефонов, при прежних технологиях, в арсенале ФБР были всевозможные методы, позволяющие раскрывать самые сложные преступления. С середины 1990-х гг. работа агентов существенно упростилась: они смогли получать данные мобильных телефонов. С тех пор прошло более 20 лет, агенты ФБР, которые помнят «старые добрые времена», уходят на пенсию, а нынешние сотрудники агентства{363} знают только то, что на смартфонах хранятся важные данные.
Так продолжаться больше не может. Если мы собираемся повсеместно внедрить системы безопасности без каких-либо ухищрений, то ФБР нужны новые знания о том, как проводить расследования в эпоху интернета+. На заседании Юридического комитета Палаты представителей Сьюзан Ландау, математик и эксперт в области кибербезопасности, так описала существующее положение вещей{364}:
ФБР понадобится следственный центр с агентами, хорошо разбирающимися в современных телекоммуникационных технологиях на всех их уровнях и во всех промежуточных областях. Поскольку в наши дни телефоны стали настоящими компьютерами, сотрудники центра должны иметь глубокие знания в области компьютерных наук. Кроме того, потребуются группы ИТ-специалистов, разбирающихся в различных типах беспроводных устройств. Внимание центра должно быть сосредоточено не только на том, какие технологии существуют сейчас или какими они будут через полгода, но и на том, какими они могут стать через два года или даже пять лет. Этому центру нужно будет поручить разработку новых методов наблюдения с учетом развития технологий. Я говорю здесь о глубоком опыте и серьезных возможностях, а не о легком пути.
И это еще далеко не все. В дополнение к передовой компьютерной криминалистике{365} ФБР нужно получить разрешение на осуществление хакерской деятельности в исключительных случаях. К тому же ФБР должно оказывать техническую помощь правоохранительным органам штатов и местным органам власти, которые сталкиваются со схожими проблемами в области технологической экспертизы и сбора улик. Эта проблема никуда не исчезнет, она будет лишь трансформироваться со временем, так что ФБР необходимо постоянно адаптироваться.
Чтобы внедрить все эти нововведения, ФБР должно обеспечить техническим следователям возможность профессионального роста. Сейчас такой возможности просто не существует: едва ли вы найдете хоть одного успешного студента с факультета компьютерных наук, мечтающего о карьере в правоохранительных органах. Вот почему компьютерные криминалисты, как правило, приходят в ФБР извне. Если же ФБР собирается привлекать{366} и удерживать по-настоящему талантливых специалистов, ему необходимо будет научиться успешно конкурировать с частным сектором.
Это будет недешево. По оценкам Ландау, подобная программа будет стоить сотни миллионов долларов в год. Но все же это намного меньше, чем миллиарды долларов, в которые обойдется обществу недостаточно защищенный интернет+. И это действительно единственное решение, которое будет по-настоящему работать.
Правительство не в состоянии реализовать подобный план в одиночку. Частный сектор тоже не может сделать это без помощи извне. Эффективные решения, касающиеся безопасности, могут быть приняты только при тесном сотрудничестве правительства и промышленного бизнеса.
Многие рекомендации, содержащиеся в предыдущих главах, очерчивают контуры этого потенциального партнерства. Независимо от того, являются ли предприятия разработчиками программного обеспечения, интернет-компаниями, производителями IoT или поставщиками критически важной инфраструктуры, все они должны знать и выполнять свои обязанности.
В первую очередь это означает активный обмен информацией между правительством и частным сектором. Подобная идея отнюдь не нова, и последние четыре президента США пытались ее продвигать. Большинство важнейших секторов промышленности имеют свои собственные центры обмена и анализа информации, где правительство и бизнес могут обмениваться разведывательными данными. В некоторых других странах тоже существуют аналогичные организации: Центр защиты национальной инфраструктуры (Centre for the Protection of National Infrastructure[79] – CPNI) Великобритании, Европейский центр обмена и анализа энергетической информации (European Energy-Information Sharing and Analysis Centre – EE-ISAC) в ЕС, испанская Grupo Trabalho Seguridad и Австралийская сеть надежного обмена информацией для обеспечения устойчивости критически важной инфраструктуры (Trusted Information Sharing Network for Critical Infrastructure Resilience – TISN).
Однако в реальности ситуация значительно сложнее{367}, потому что и правительство, и промышленность, как правило, куда больше ценят получение информации, чем ее предоставление. И это понятно, ведь затраты сил, средств и времени бывают несоизмеримы с результатом.
Например, многое из того, что известно АНБ и ФБР, строго засекречено, и эти агентства пока не придумали, как делиться своими данными с компаниями, в которых не хватает сотрудников с должным уровнем допуска к безопасности. Многие отраслевые данные также являются конфиденциальными или недостаточно проверенными, и ими нельзя делиться, не имея гарантий дальнейшего нераспространения. Таким образом, снижение уровня секретности в сфере правительственной кибербезопасности будет иметь большое значение для облегчения обмена информацией, для предоставления гарантий конфиденциальности компаниям, которые готовы обмениваться информацией, и, возможно, даже для возмещения их потенциальных убытков.
С критической инфраструктурой дело обстоит несколько лучше. Правительства уже давно участвуют в регулировании этой отрасли, и у них есть опыт борьбы с возникающими угрозами. Однако обмен информацией должен выходить за рамки того, что традиционно считается критически важной инфраструктурой.
Один из возможных шагов – создание национального хранилища сведений о киберинцидентах, которое позволит предприятиям анонимно сообщать информацию, например, о взломах их баз данных. Это похоже на то, как FAA ведет анонимную базу данных, полученных с бортов самолетов, едва не потерпевших крушение. Отчетность в таких случаях является добровольной, но весьма приветствуется, поскольку инженеры полученную информацию могут использовать для создания более безопасных самолетов, для проектирования более безопасных взлетно-посадочных полос и для разработки более безопасных процедур управления.
Другая идея{368} состоит в том, чтобы создать Национальный совет по кибербезопасности (National Cybersecurity Safety Board – NCSB) для анализа аварий, связанных с интернетом, по образцу Национального совета по безопасности на транспорте – независимого бюро расследования транспортных происшествий. Миссией NCSB станет расследование{369} самых серьезных инцидентов, выдача заключений о неисправностях и публикация актуальных сведений о том, какие меры безопасности действительно работают, а какие нет. Совет мог бы также ежегодно выпускать что-то вроде горячего списка наиболее важных изменений, необходимых для предотвращения подобных происшествий в будущем.
Что бы мы ни делали для усиления безопасности интернета+, это должно происходить с учетом его масштабов. Например, всякий раз, когда автомобиль попадает в аварию, данные об инциденте так или иначе поступают к дорожной полиции, страховым агентствам, производителю автомобилей, местному агентству по безопасности и т. д.
Уже появились неправительственные сети поставщиков услуг безопасности{370}, такие, например, как Альянс киберугроз (Cyber Threat Alliance – CTA), призванные заполнить брешь в системах обмена информацией. Упомянутый Альянс, созданный в 2014 г. пятью поставщиками из США, быстро распространил влияние по всему миру. Идея его функционирования состоит в том, чтобы помочь защитникам опередить злоумышленников (устранение асимметрии в некоторых из тех областей, о которых мы говорили в главе 1) посредством предоставления информации о методах атак и их мотивах. Хотя такой неформальный обмен сведениями жизненно важен, он все же не заменяет информирования о задокументированных сбоях в системе безопасности. Компании неохотно делятся такими данными друг с другом, а значит, здесь требуется содействие правительства.
Нам также необходимо признать ограничения, существующие в любом государственно-частном партнерстве, и разобраться с тем, что предпринимать, когда отдельные лица или компании подвергаются нападению в интернете со стороны правительств других стран. Представьте, что северокорейские военные напали на американскую медиакомпанию. Или что иранские военные атаковали американское казино. Мы ведь не ожидаем, что эти компании будут сами защищать себя. Напротив, мы предполагаем, что защищать их будет Армия США, как ей надлежит поступать в отношении всех граждан своей страны.
Что произойдет, если эти две страны атакуют американские компании в киберпространстве (а такое уже случалось)? Независимо от того, сколько упреждающей информации правительство передало этим компаниям, можем ли мы действительно ожидать, что Sony будет само защищаться от Северной Кореи, а казино Sands – от Ирана? Хотим ли мы, чтобы частные компании самостоятельно отвечали на иностранное военное нападение? Я лично так не думаю.