Читаем Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах полностью

В рамках 97 рекомендаций по оптимизации работы палаты представителей США{156} Специальный комитет по модернизации конгресса предложил в 2019 г. «разработать новую систему, которая позволит американскому народу легко отслеживать, как именно поправки изменяют законодательство и какое влияние предлагаемые законопроекты окажут на действующий закон». По сути, такая система отслеживания изменений в законодательстве расширяет более ранний проект под названием Comparative Print Project.

Цель этой инициативы состоит в том, чтобы облегчить{157} просмотр и понимание законодательных изменений, что, в свою очередь, способствует обнаружению скрытых положений. Это, конечно, не решит проблему, в том числе потому, что комитет предлагает открыть информационный доступ только к «офисам палаты представителей», но в любом случае это был бы шаг в правильном направлении. Подобный ресурс, доступный для общества, в сочетании с мерами по обеспечению достаточного времени для рассмотрения законодательных актов может стать еще более действенным.

Но просто выделить время недостаточно; необходимо стимулировать людей, чтобы они искали в законопроектах скрытые положения. Взяв за пример систему bug bounty, используемую при разработке программного обеспечения, мы могли бы создать некий ее аналог, позволяющий гражданам получать вознаграждение за обнаруженные лазейки в законах, готовящихся к принятию. Наиболее очевидным полем для такого рода системы могут служить законы с налоговыми последствиями – вознаграждение могло бы составлять небольшой процент от ожидаемых (благодаря закрытию лазейки) налоговых поступлений.

В качестве альтернативы имеет смысл использовать опыт «красных команд» применительно к законопроектам: специализированные группы, играющие роль частных компаний или правящих элит, должны хакать готовящееся законодательство и обнаруживать ранее неизвестные уязвимости.

Хотя оба этих подхода могут оказаться полезны, они сталкиваются с основной проблемой современного законотворчества, а именно с тем фактом, что законопроекты часто пишутся в обстановке секретности относительно небольшим числом законодателей и лоббистов и многие лазейки в них создаются намеренно. Представьте себе, что «красная команда» находит уязвимость в налоговом законопроекте. Это ошибка или особенность, баг или фича? Кому решать? И на каком основании? Кроме того, многие законопроекты принимаются конгрессом сразу после их публикации, что делает невозможным внимательное прочтение документов, тогда как «красной команде» для работы и принятия мер на ее основе требуется время.

Например, Закон о сокращении налогов и увеличении занятости 2017 г. был поставлен на голосование всего через несколько часов после того, как законодатели бегло ознакомились с его окончательным текстом. Это было сделано намеренно: авторы не хотели, чтобы у профессионалов было достаточно времени для тщательного изучения законопроекта. Аналогичным образом Закон о помощи, поддержке и экономической безопасности в период коронавируса (CARES) был опубликован{158} в 14:00 21 декабря 2020 г. Несмотря на то что законопроект насчитывал 5593 страницы, он был принят в палате представителей вечером того же дня, около 21:00, а уже к полуночи прошел голосование и в сенате. Законопроект содержал, к примеру, положения о малоизученных «налоговых расширениях» и постоянном снижении стоимости акцизов для «производителей пива, вина и дистиллированных спиртных напитков», что, по оценкам, обошлось казне в $110 млрд{159}. Многие законодатели просто не знали о многочисленных налоговых лазейках, которыми пестрел документ.

Возможно, нам придется подождать, пока искусственный интеллект со свойственной ему нечеловеческой скоростью научится читать, понимать и идентифицировать потенциальные хаки еще до того, как будут приняты законы. Это поможет решить проблему, хотя, несомненно, создаст другие.

Одни законопроекты важнее других. Законопроекты об ассигнованиях или те, что являются реакцией на стихийные бедствия, пандемии или угрозу национальной безопасности, считаются обязательными к принятию. Эти законопроекты дают законодателям возможность протолкнуть положения, которые сами по себе никогда бы не прошли, но важны в политическом плане. Образно их называют райдерами, или наездниками. Райдеры часто непопулярны, противоречат общественным и обслуживают чьи-то узкие интересы или являются результатом политических махинаций и сделок.

Внедрение неуместных райдеров в эти обязательные для прохождения законодательные акты позволяет законодателям избежать внимания или негативной реакции, которая была бы неизбежна в случае отдельного голосования за политически спорное положение. Этот ставший уже обычным хак подрывает сам принцип законотворчества, когда вносятся отдельные предложения, а затем ставятся на голосование.

Приведу три примера.