Пол Винья - Машина правды

Очевидный провал наших попыток защитить мировую коммерцию — прямое следствие нестыковки между централизованными методами хранения и обработки данных и требованиями глобальной экономики совместного потребления, которая поощряет децентрализацию — взаимодействие субъектов и устройств в режиме Р2Р. Все больше и больше пользователей объединяются в пиринговые социальные сети; все больше устройств — например, «умных» термостатов и холодильников — подключаются к так называемому интернету вещей. Однако это означает и рост числа точек доступа, используемых хакерами для взлома централизованных хранилищ данных и кражи их содержимого.

Риски, кроющиеся в расхождении двух тенденций, привели в октябре 2016 года к кибератаке на компанию Dyn — крупного провайдера сетевых услуг, в частности DNS (системы доменного имени) [46] Подробный анализ кибератаки можно найти здесь: Peter Tran, “The Dyn Attack — How Iot Can Take Down the “Global Information Grid” Back Bone (Part I),” RSA, October 25, 2016, https://www.rsa.com/en-us/blog/2016-10/the-dyn-attack-how-iot-can-take-down-the-global-information-grid-back-bone-part-i . . Атака произошла после того, как один хакер обнаружил, что пользователи небольших устройств, таких как игровые консоли и ноутбуки, нерегулярно загружают патчи безопасности. Следовательно, заразив эти устройства определенным вирусом, их затем можно было использовать как стартовую площадку для атак на интернет-узлы. Когда хакер опубликовал пошаговое руководство, разумеется, нашлись желающие применить его на практике. Завладев множеством устройств с помощью ботнета, злоумышленники провели мощную DDOS-атаку (распределенная атака типа «отказ в обслуживании») на серверы Dyn. Их стратегия заключалась в отправке огромного количества запросов к системе, в результате чего пользователи лишились доступа ко многим страницам и сервисам, включая Twitter, Spotify, Reddit и другие сайты с большим трафиком. Эта DDOS-атака — прямое следствие обсуждаемого нами парадокса. Системами доменных имен управляют все более крупные, централизованные провайдеры-посредники, тогда как небольшие устройства «интернета вещей» попадают в руки неподготовленной широкой публики. Такое сочетание — мечта любого хакера.

А какой объем данных мы с вами приготовили для ненасытных хакеров! По оценкам компании IBM, в 2014 году пользователи интернета ежедневно генерировали 2,5 эксабайта — то есть 2,5 квинтиллиона байтов — информации [47] См .: Ralph Jacobsen, “2.5 Quintillion Bytes of Data Created Every Day. How Does CPG & Retail Manage It?” IBM, April 14, 2013, https://www.ibm.com/blogs/insights-on-business/consumer-products/2-5-quintillion-bytes-of-data-created-every-day-how-does-cpg-retail-manage-it/ . . Б о льшая ее часть теперь хранится в облаке — облачные технологии сделали хранение настолько дешевым, что «чистить» ящики и диски уже нет никакого смысла. Давайте напишем эту цифру полностью, со всеми семнадцатью нулями: 2 500 000 000 000 000 000. (Для наглядности можно сказать еще так: это примерно 2,5 триллиона PDF-версий нашей книги.) По словам экспертов IBM, это число означает, что человечество собрало 90 процентов всех данных, накопленных за нашу историю, всего за два года — и большая их часть хранится на серверах у провайдеров облачных сервисов (таких как IBM).

Пожалуй, единственный способ защитить эти данные и понизить интенсивность атак — убрать информацию с централизованных серверов и сформировать распределенную систему хранения. Контроль нужно вернуть владельцам данных, то есть потребителям и конечным пользователям интернет-услуг. Если хакерам понадобится эта информация, им придется красть ее у каждого из нас, что гораздо дороже взлома гигантской базы данных, где все удобно сложено в одном месте. Но чтобы создать новую систему, нужно перейти к децентрализованной модели доверия.

Прежде чем анализировать это решение, давайте определим, почему оно важно для человечества. Дело ведь отнюдь не в долларах и центах. Существует глубинная связь между неприкосновенностью личного пространства, необходимого для полноценной жизни общества, и защитой конфиденциальных данных. Когда защитные механизмы дают сбой (что, увы, не редкость), благополучие граждан оказывается под угрозой. Они могут лишиться сбережений, подвергнуться вымогательству и шантажу; их имя и репутацию может присвоить злоумышленник; интимные моменты, которыми они делились с ближайшим кругом, становятся достоянием общественности. Кража личных данных нередко приводит к депрессии и даже самоубийству потерпевшего [48] См .: “Identity Theft: The Aftermath 2013,” Identity Theft Resource Center, http://www.idtheftcenter.org/images/surveys_studies/Aftermath2013.pdf . . Хуже того, многие эксперты полагают, что вскоре мы столкнемся с киберубийствами. Подключенные к интернету автомобили и другие потенциально опасные устройства могут стать орудием в руках преступников. Возможно, такие убийства уже совершаются; есть предположение, что загадочное исчезновение рейса MH370 Malaysia Airlines — результат хакерской атаки на системы навигации [49] Вскоре после авиакатастрофы появились сообщения о том, что хакерская группа Naikon взломала официальный сайт правительства Малайзии. См.: Elsie Viebeck, “Cyberattacks Followed Malaysia Airlines Flight Disappearance,” The Hill , April 21, 2015, http://thehill.com/policy/cybersecurity/239529-cyberattacks-followed-malaysia-airlines-flight-disappearance . . И это уже не плод больной фантазии конспирологов: технически подобное вмешательство вполне возможно, поэтому, чтобы исключить такие преступления, проблему нужно устранять в зародыше.

Централизованная модель доверия ставит под угрозу не только отдельных граждан, но и крупные организации. В последние годы от кибератак пострадали даже гиганты из списка S&P 500 — J.P. Morgan, Home Depot, Target, Sony, Wendy’s. Всем им пришлось потратиться на судебные процессы, компенсации клиентам и серьезное обновление систем безопасности. Страдают как деловые, так и политические структуры. Вспомним утечку данных из Управления кадровой службы США в 2015 году, когда в руки хакеров попали около 18 миллионов записей о персонале [50] См .: Brendan I. Koerner, “Inside the Cyberattack That Shocked the US Government,” Wired , October 23, 2016, https://www.wired.com/2016/10/inside-cyberattack-shocked-us-government/ . . И конечно же, не будем забывать о кибератаке на Национальный комитет Демократической партии США в 2016 году — предполагаемом «русском» взломе, приведшем к тяжелому политическому кризису в первый год правления Дональда Трампа.

Хакерские атаки — серьезная угроза для корпоративного бюджета и вечная головная боль для IT-отдела любой компании. Каждый новый прием, изобретенный кибервзломщиками, требует новых патчей в системе безопасности, которую все равно со временем сумеют обойти. Это означает огромные капиталовложения в программное обеспечение, которое неизбежно потребует обновления и дальнейших затрат. Образно говоря, компания строит все более и более высокую стену (брандмауэр), прекрасно зная, что грабители уже надстраивают лестницы.