Не можем мы ожидать и того, что корпорации{371} вроде Westinghouse Electric и US Steel станут защищаться от военных хакеров. И уж совсем было бы странно, если бы национальные комитеты Демократической и Республиканской партий{372} (а тем более государственные и местные политические организации) создали ополчение для защиты от кибератак. Ни в одном из перечисленных случаев честный бой невозможен.
Одна из главных мыслей, которые я отстаиваю в этой книге, – коммерческим компаниям необходимо как можно больше усилий направлять на защиту своих устройств, данных и сетей. Это позволит им наиболее успешно отбивать атаки иностранных правительств и отдельных хакеров и препятствовать их вторжению в системы. Пора перестать делать вид, что таких угроз не существует. Впрочем, у военных всегда будет больше средств киберзащиты, чем у гражданских лиц и организаций. И всегда возможны нападения извне, противостоять которым обычные граждане, как и представители частного бизнеса, будут не в состоянии. Вот почему правительство должно оставаться единственным органом, обладающим полномочиями и возможностями для реагирования на крупномасштабные атаки других государств в киберпространстве. Киберармии может потребоваться помощь частного сектора, но организация процесса обеспечения безопасности не должна лежать на его плечах.
Какая именно модель государственной киберзащиты является оптимальной? Будет ли это национальная «кибергвардия»{373} или «особый корпус» киберинженеров? Появится ли в США Киберкомандование, которое станет защищать гражданские сети внутри США, или это будет обязанностью Министерства внутренней безопасности? В Эстонии, например, уже существует добровольное подразделение{374} киберзащиты, состоящее из неправительственных экспертов, к которым можно обратиться в случае чрезвычайного положения в стране. Я не думаю, что нам нужно перенимать этот опыт полностью, но взять на вооружение какие-то идеи наверняка стоит.
Важно отметить, что государство пока еще не может обеспечить нашему частному сектору надежную защиту от нападения злоумышленников или недружественных стран. Ситуация такова, что люди и организации вынуждены брать на себя львиную долю ответственности за личную безопасность. Со времени закрытия американской границы в 1890 г. это едва ли не самый серьезный вызов для каждого из нас.
Глава 10План Б: Что может произойти на самом деле
История первая. Взлом базы данных компании Equifax в 2017 г. привел к тому, что в Конгрессе США началось возмущение со стороны обеих партий, породившее массу разговоров о необходимости государственного регулировании деятельности брокеров персональных данных и вообще всех тех, кто собирает и продает нашу личную информацию. Однако, несмотря на ряд слушаний в Конгрессе, в ходе которых прозвучало немало откровенной критики{375}, и даже несмотря на то, что в ходе заседаний было выработано несколько конкретных предложений, ничего из всего этого не вышло. В частности, ни к чему не привел вполне конкретный законопроект{376}, предусматривающий минимальное регулирование кредитных бюро. Единственное, что «сделал»{377} Конгресс по-настоящему, – принял закон, запрещающий потребителям подавать в суд на Equifax.
История вторая. В 2017 г. в США был принят Закон об улучшении кибербезопасности интернета вещей. Но, несмотря на громкое название, по сути он оказался весьма скромным законодательным актом, который не предписывал, не регулировал и не заставлял какую-либо компанию что-либо делать. Он лишь установил минимальные стандарты безопасности для устройств интернета вещей, приобретенных правительством США. Эти стандарты были разумными и не слишком обременительными (вспомните обсуждение в главе 6). Фактически законопроект ничего не изменил. Слушаний не было. Ни один комитет никогда не голосовал за него. Вообще удивительно, что он попал в газеты после того, как его ввели.
История третья. В 2016 г. президент Барак Обама учредил Комиссию по повышению национальной кибербезопасности{378} (Commission on Enhancing National Cybersecurity), обладающую широкими полномочиями. В заявлении говорилось:
Эта комиссия представит подробные рекомендации по укреплению кибербезопасности как в государственном, так и в частном секторах, при этом она будет защищать конфиденциальность, обеспечивать общественную, экономическую и национальную безопасность, способствовать разработке новых технических решений, а также укреплять партнерские отношения между федеральными, государственными и местными органами власти и частным сектором в разработке, продвижении и использовании технологий, политик и передового опыта в области кибербезопасности. Рекомендации Комиссии должны касаться действий, которые могут быть предприняты в течение следующего десятилетия для достижения этих целей.
В конце того же года упомянутая Комиссия (которая представляла собой двухпартийную рабочую группу) опубликовала отчет. Это был серьезный документ, основанный на глубоких исследованиях; он содержал 16 рекомендаций с перечислением 53 конкретных действий, которые администрация могла бы предпринять для повышения безопасности в интернете. Хотя в отчете было к чему придраться, в целом он представлял собой неплохой конкретный план действий как на ближайшую, так и на отдаленную перспективу. Но вот прошло почти два года, и только одна из рекомендаций воплотилась в жизнь: программу NIST Cybersecurity Framework сделали обязательной для государственных учреждений. Впрочем, еще ни одно агентство на это не отреагировало. Остальная же часть отчета была проигнорирована полностью{379}.
Я допускаю, что, когда вы читали предыдущие четыре главы, у вас возникало ощущение, что я рисую кошмары и обсуждаю только наихудшие сценарии. Или вы думали, что даже если мои рекомендации и неплохи, вряд ли они будут осуществлены.
Отчасти я разделяю ваши опасения. Я и вправду не верю, что Конгресс возьмется за всемогущую компьютерную индустрию и вездесущих интернет-провайдеров и обяжет их соблюдать стандарты безопасности. Я не вижу предпосылок к увеличению расходов на нашу инфраструктуру в киберпространстве. Я не надеюсь на создание каких-либо новых федеральных регулирующих органов в этой области. И я не думаю, что военные или полиция откажутся от использования наступательного оружия в компьютерной сфере под предлогом усиления обороны.
Позвольте мне на пару минут углубиться в психологию. Подобно тому как руководители компаний склонны недооценивать требования безопасности, политики склонны недооценивать скрытые угрозы. Представьте себе политиков, рассматривающих предложения направить значительные бюджетные ассигнования на снижение некоторого гипотетического долгосрочного риска, важного в стратегическом аспекте. У политиков есть выбор: выделить средства для достижения этой долгосрочной цели или для решения неотложных текущих политических задач. Выбрав последнее, они получат одобрение избирателей. Если же они предпочтут потратить деньги на безопасность, то рискуют подвергнуться критике – за нецелевое расходование средств или за игнорирование нужд общества. Еще хуже будет, если угроза, против которой планировалось бороться, не материализуется: никого не будет волновать, что именно бюджетное финансирование помогло избежать осуществления этого сценария. И будет совсем плохо, если угроза материализуется после смены власти: новое правительство присвоит себе все заслуги по обеспечению безопасности людей.
За все годы моей деятельности в сфере безопасности серьезного политического прогресса в этой области не произошло. Разыгрывалось такое действо: набирающая силу ИТ-индустрия гнет свою линию и выступает против любых правительственных ограничений, а законодательная власть не решается на более серьезные шаги. Я видел, как представители правоохранительных органов в самых разных странах настаивают на технических нововведениях, ослабляющих безопасность, и выставляют любого, кто выступает против них, поборником преступности и терроризма. Я был свидетелем того, как правительство подвергалось обвинениям одновременно в чрезмерном и недостаточном регулировании. И повсюду прослеживалась одна и та же тенденция: новые технологии становятся мейнстримом задолго до появления элементарных механизмов их регулирования.
А наши риски тем временем становятся более угрожающими, их последствия – более катастрофическими, а вопросы политики – все более неразрешимыми. Интернет стал критически важной инфраструктурой; мы ощущаем это буквально физически. Наши данные переместились на компьютеры, управляемые третьими лицами, а сети разрослись до невиданных масштабов.
Правительства занимаются регулированием вопросов, связанных с угрозами жизни людей, и когда интернет начнет нас убивать, регулирование дойдет и до него. Только страх может послужить мощным мотиватором к действию и преодолению психологической беспомощности.
О каких событиях идет речь?
Это зависит от того, на протяжении какого времени мы анализируем ситуацию. Некоторые наблюдатели проводят параллели{380} между сегодняшним интернетом+ и автомобильной промышленностью в Америке до 1970-х гг. Свободные от государственного регулирования производители индивидуальных транспортных средств выпускали автомобили, не отличавшиеся безопасностью, и люди часто гибли, находясь в них. Однако выход в 1965 г.