Читаем Секреты и ложь. Безопасность данных в цифровом мире полностью

Или подумайте о гонке ядерных вооружений. Еще не было никакой крупномасштабной эскалации вооружений, а знания по производству ядерных бомб стали достоянием публики. Почему так случилось? Потому что эти знания не являлись опасными; осуществить громоздкие технические программы, вложив в них гигантские средства, могли себе позволить только единичные государства.

Киберпространства бывают разные. Вы можете находиться в другом месте, далеко от узла, на который вы нападаете. Вы можете не иметь никаких навыков и вообще ничего, кроме программы, которую вы загрузили с первого попавшегося веб-сайта. И вы даже не подвергаетесь риску. Порядочный хакер распространит сведения о найденной уязвимости в Интернете, а преступник напишет программу-имитатор нападения, которая продемонстрирует уязвимость, и затем любой неумеха без комплексов сможет воспользоваться ею для нападения. Например, как червем филиппинского студента, инфицировавшим десять миллионов компьютеров, что повлекло 10 миллиардов долларов ущерба. Или, возможно, в некотором царстве-государстве с неразвитой правовой системой приютилась веб-страница, которая содержит приложение Java: «Щелкните здесь, чтобы „сломать" Интернет». Не очень привлекательно, так ведь?

В девятнадцатом столетии французский социолог Эмиль Дурхейм постулировал, что анонимность делает людей преступниками. Вы можете дополнить его доводы, приведя в пример психологию современного хакера: невозможность ни с кем связаться, анонимность действий и отсутствие последствий за содеянное приводят некоторых людей к антиобщественным поступкам. Миазмы, вредные влияния виртуального пространства – гарантия этого.

Технология – не панацея, она не смогла помешать Маквею или Шипману. Оба были схвачены с помощью процессов безопасности: обнаружения и реагирования. В случае Шипмана обнаружение и реагирование абсурдно не соответствовали, и он избежал должной за свою бойню кары на десятки лет заточения. Правоохранение выявило случившееся, расследование установило, кто это сделал, а закон не наказал виновного по заслугам[78].

Для социальных проблем нет технических решений. Законы жизненно важны для безопасности.

Если кто-нибудь изобретет дверь, которую невозможно вскрыть, такой же оконный замок или совершенную систему сигнализации, общество не изменится и не скажет: «Нам не нужны полиция или устаревшие законы о взломе и вторжении». Если история преступной деятельности что-нибудь и показала, так это ограниченность технологий. Мы нуждаемся в охране для наблюдения за продуктами и в полиции для расследования преступлений. Нам требуются законы, чтобы преследовать по суду мошенников в сфере электронной торговли, нарушителей компьютерной безопасности и людей, которые создают средства, облегчающие эти преступления. Мы можем внедрить наилучшие технологии для предотвращения преступлений, которые совершаются в первый раз, или для их обнаружения уже после свершившегося факта. Но мы все равно окажемся перед необходимостью полагаться на охрану для поимки преступника и на судебную систему для вынесения приговора. Мы можем сделать все возможное, чтобы помешать проведению маркетинговых исследований фирмы, включающих нелегальный сбор информации на людей, но мы также нуждаемся в законах, чтобы преследовать по суду эти нарушения.

Короче говоря, мы должны заручиться гарантией, что люди будут подвергать себя опасности при совершении преступлений в киберпространстве.

Мы также должны учиться на своих ошибках.

Когда самолет DC-10 терпит крушение, что-либо узнать об этом легко. Есть расследования и отчеты, и в конечном счете люди учатся на таких несчастных случаях. Вы можете подключиться к Air Safety Reporting System и получить детальные описания десятков тысяч аварий и несчастных случаев, начиная с 1975 года.

Крах безопасности происходит по разным причинам, но обычно не из-за шаровой молнии или внезапного удара. Наиболее успешные нападения (на банки, корпорации и правительства) не упоминаются в средствах массовой информации. Некоторые из них проходят незамеченными даже самими жертвами. Мы знаем все относительно MD-80[79], вплоть до металлургии винтового домкрата, и лишь немного о том, как нападавшие крали номера кредитных карточек с веб-узлов. Это подобно Аэрофлоту Советского Союза: официально никогда не происходило никаких аварий, но каждый знал, что иногда самолеты не достигают пункта назначения по загадочным обстоятельствам.

Предание гласности не оценивается по достоинству. Когда в 1995 году Ситибанк потерял 12 миллионов долларов из-за российского хакера, банк объявил о факте внедрения и уверил клиентов, что предпринял новые, более серьезные меры безопасности для предотвращения таких нападений в будущем. Даже в этом случае миллионы долларов были отозваны людьми, которые полагали, что их счета стали уязвимы сразу после объявления Ситибанка. В конечном счете, Ситибанк возместил убытки, но получил ясный и однозначный урок: не разглашать.