А еще мы можем и должны укреплять личную кибербезопасность. Интернет предлагает множество способов{405} сделать это, в основном связанных с конфиденциальностью данных. Но, в конце концов, значительная часть нашей кибербезопасности все равно уже не в наших руках, потому что наши данные находятся на недоступных нам серверах.
У организаций куда больше возможностей для поддержания безопасности благодаря их размеру и бюджету. Даже из личных интересов – как экономических, так и репутационных – они должны включить вопросы кибербезопасности в повестку дня каждого заседания совета директоров. Конечно, речь идет о технических рисках, но атаки на уязвимости могут нанести серьезный ущерб компании. Я сам технический директор IBM Resilient и специальный советник IBM Security и могу из своего опыта сказать, что компании принимают более разумные решения в области безопасности, если в обсуждении этих вопросов участвует высшее руководство.
Организациям необходимо знать об уровне безопасности используемых ими устройств и служб как в сети, так и в облаке. Они должны обдуманно принимать любые решения, касающиеся интернета+, и следить за тем, чтобы приобретение нового оборудования не оказало негативного воздействия на сеть. А добиться этого непросто. Я готов поспорить, что организации быстро выяснят, что интернет+ проникает в их сети самым неожиданным образом. Например, кто-то из сотрудников купил кофеварку с выходом в интернет. Да и автоматизированная система освещения, и лифты, и система управления зданием – все это, как правило, подключается к внутренней корпоративной сети.
Организации должны хорошо понимать, где находятся их данные. Уже сейчас наметилась тенденция хранения личных данных под личным контролем в собственной сети! Облачные технологии таят в себе много соблазнов: так легко разместить свои данные на чужих компьютерах, не понимая всех последствий этого. В 2017 г. в Швеции произошла поучительная история с утечкой данных. За два года до инцидента Шведское транспортное агентство переместило в облако{406} всю свою документацию, включая секретную информацию, которая никогда не должна была покидать внутренние сети правительства. Я полагаю, что человек, принявший это решение, даже не задумывался о его последствиях.
Организациям необходимо использовать свою покупательную способность, чтобы сделать интернет+ более безопасным местом и для себя, и для всех остальных. Им следует оказать давление на производителей, чтобы они повышали безопасность своих устройств и программ как самостоятельно, так и через отраслевые ассоциации. Им следует взаимодействовать с политиками и лоббировать законы, направленные на повышение надежности ИТ-продуктов. Хотя корпорации почти патологически не выносят регулирования, кибербезопасность – одна из тех областей, где разумное регулирование может создать новые стимулы, способные снизить общую стоимость систем безопасности и сократить потери от сбоев в их работе.
Мы должны признать, что плотно завязаны на то правительство, которое у нас есть, а не на то, которое мы хотели бы иметь. И раз мы не можем полагаться на правительство, не готовое на смелые шаги, наша главная надежда – на бизнес: некоторые компании так или иначе предпримут решительные меры, чтобы превратить интернет+ в безопасную среду. У нас есть не так уж и много возможностей, но это все, чем мы сейчас располагаем.
В главе 12 я расскажу кое-что о доверии. Запомните, это важно. Мы вынуждены доверять людям и компаниям, чьими продуктами и услугами пользуемся. Постарайтесь понять, кому вы доверяете и в какой степени, и принимайте осознанные решения о взаимодействии с ними. Это напрямую касается облачных технологий, интернета вещей и других сетевых сервисов. Копите знания о них и будьте предусмотрительны.
Выбор все равно будет нелегким. Кому именно вы предоставите доступ к вашей конфиденциальной информации и доверите заботу о вашей безопасности? Кому бы вы предпочли предоставить доступ к вашей электронной почте – Google или Apple? Кому бы вы предпочли отдать на хранение свои фотографии – Facebook[84] или Flickr (он принадлежит Yahoo)? А когда речь заходит об обмене сообщениями, кому вы доверитесь – iMessage{407} от Apple, WhatsApp или формально независимым сервисам наподобие Signal или Telegram?
Помимо всего прочего, вам придется выбирать и страну, которой вы доверите святая святых. Американские компании подчиняются законам США и почти наверняка откажутся от защиты данных в ответ на судебные приказы. Хранение данных в другой стране может оградить вас от законов США, но вы будете подчиняться законам той, другой страны. И хотя в области слежения АНБ не имеет себе равных в мире, оно и ограничено законодательством США гораздо сильнее, чем аналогичные иностранные агентства, а значит, у ваших данных будет куда больше юридической защиты, если они будут храниться в США, а не за их пределами.
Принятие взвешенных решений может оказаться невозможным, да и большинство людей просто не станут об этом беспокоиться. Например, штаб-квартира Facebook[85] находится в Калифорнии, а центры обработки данных распределены по всему миру; так что ваши данные, скорее всего, будут храниться в нескольких местах. Многие компании, с которыми вы имеете дело, используют облачные сервисы с данными, разбросанными по всему миру. Какому бы поставщику услуг вы ни доверились, вы вряд ли будете знать наверняка, законы каких стран будут применяться к вашим данным. Впрочем, некоторые компании игнорируют запросы о выдаче данных, хотя это и зависит от местонахождения клиента. Например, Microsoft продолжает сражаться{408} с Министерством юстиции по поводу передачи ФБР данных ирландского клиента, хранящихся в Ирландии.
Я предлагаю посмотреть на эти проблемы с двух позиций. Во-первых, вы автоматически подпадаете под действие законов своей страны, и наиболее разумным будет свести к минимуму число стран, управляющих безопасностью ваших данных. Во-вторых, компрометирующие данные с наибольшей вероятностью доставят вам неприятности именно в вашей стране, поэтому наиболее разумным будет затруднить доступ к ним вашим правоохранительным органам. Какая позиция кажется вам наиболее приемлемой? Лично я склоняюсь к первому варианту. Однажды я уже заявил{409}, что, если бы у меня был выбор, я предпочел бы, чтобы мои данные находились под юрисдикцией правительства США и никакого (или почти никакого) другого правительства на планете. В ответ я получил много критики, но мнение свое не изменил.
Глава 11Что такое «плохая политика»?
В предыдущей главе я упомянул, что правительства занимаются регулированием сфер, несущих в себе угрозу жизни. В эту категорию скоро попадет и интернет+. Когда политики осознают его опасность, у нас не будет выбора – вводить государственное регулирование или нет. Выбирать придется только между разумным и неразумным государственным регулированием.
Меня в этой ситуации беспокоит примитивность рассуждений властей. Ничто так не мотивирует правительство, как страх, будь то страх подвергнуться нападению или страх показаться слабым. Помните первые месяцы после терактов 11 сентября? «Патриотический акт» был принят почти единогласно, без особых дебатов, и республиканская администрация, придерживающаяся концепции «малого правительства», с целью «защиты Родины» создала и профинансировала правительственное агентство, которое со временем превратилось в организацию численностью около четверти миллиона сотрудников. Совершаемые тогда действия были плохо продуманы, и последствия наспех принятых решений будут аукаться нам еще долгие годы, а то и десятилетия.
Что бы ни предпринял Конгресс после возможной катастрофы с интернетом+, это, конечно, привлечет внимание общественности, но, скорее всего, не повысит безопасность в компьютерной сфере. Конгресс с легкостью может принимать законы и предпринимать действия, лишь усугубляющие существующие проблемы.
Один из примеров неадекватной законодательной политики – принятый в 1998 г. Закон о защите детей в интернете. Целью его принятия было оградить несовершеннолетних от порнографии в сети, однако не только положения этого закона были слишком абстрактными (и поэтому неработоспособными), но и методы его реализации грозили привести к повсеместному созданию систем слежения, даже в самых отдаленных уголках интернета. К счастью, суды не допустили{410} вступления в силу этого закона. Другой пример – DMCA, подробно рассмотренный в главе 2. Он не только не предотвращает{411} цифровое пиратство, но и вредит всей нашей коллективной безопасности.
В этой главе мы рассмотрим ближайшие перспективы государственного регулирования интернета. К сожалению, в настоящее время выдвигается немало откровенно плохих идей относительно того, как правительству следует контролировать всемирную сеть. И если катастрофа произойдет, у каждой из этих идей будет шанс молниеносно сделаться законом.
В главе 9 я говорил о необходимости поставить идею обеспечения компьютерной безопасности выше возможности следить за потенциальными злоумышленниками, а также о том, что правительства часто поступают вопреки этому принципу. Такие агентства, как АНБ, делают это завуалированно, например, лоббируя запреты на сквозное шифрование. Другие же, наподобие ФБР, действуют открыто, заставляя производителей оборудования и программ внедрять бэкдоры в свои системы шифрования.
Это требование отнюдь не ново. Начиная с 1990-х гг. правоохранительные органы США неизменно утверждают, что шифрование стало непреодолимым барьером в ходе уголовных расследований. В 1990-е гг. сотрудники ФБР били тревогу по поводу зашифрованных телефонных звонков. В начале 2000-х гг., обсуждая вопросы шифрования, они стали говорить об опасностях «ухода преступников в тень» и обратили особое внимание на приложения для обмена сообщениями, где шифрование было уже широко распространено. В 2010-е гг. новой «опасностью» для силовиков стали зашифрованные смартфоны.