Компьютерра - Журнал Компьютерра №710

Порог вхождения в индустрию компьютерной преступности снизился до минимума. Открытые форумы взломщиков можно найти с помощью Google, а чтобы выйти на виртуальную "большую дорогу" и начать "зарабатывать" реальные деньги, достаточно иметь несколько десятков долларов стартового капитала. В то же время техническое оснащение взломщиков вполне сопоставимо с техническим оснащением антивирусных компаний.

Процветание и устойчивость экономики компьютерной преступности обусловлены рядом причин, порой уникальных. Редактор CSO Magazine Скотт Беринато говорит о проблеме "распределенного ущерба" (distributed pain): если украсть у миллиона людей по одному доллару, скорее всего никто из них этого даже не заметит - и уж точно не станет вызывать полицию и писать жалобы, даже если "ограбление" происходит с регулярностью раз в месяц. А современные глобальные технологии позволяют делать именно это. Примерно той же позиции придерживаются многие банки - защищая свои системы настолько, насколько этого требует законодательство, они готовы списывать периодические потери от киберпреступности на "допустимые издержки" (закладывая их, естественно, в стоимость своих услуг, процентные ставки и т. д.).

"Аналогичная ситуация с правоохранительными органами, - Скотт цитирует Джима Малони (Jim Maloney), бывшего CSO Amazon.com, в настоящий момент - владельца собственный консалтинговой компании. - До тех пор, пока не поступит достаточно информации от множества жертв и не станет ясно, что речь идет об одной большой проблеме, необходимых для ее решения ресурсов просто никто не выделит".

С другой стороны, распределенная структура преступных корпораций и длинные "цепочки потребления" позволяют "размазывать" риски по всем участникам этого рынка - точно так же, как в наркобизнесе. Разделение труда приводит к повышению устойчивости всей системы. Для наркомафии арест одного наркокурьера - все равно что слону дробинка. Так и арест одного разработчика трояна не затронет "клиентов" его сервиса, и через какое-то время аналогичный сервис появится в другом месте и с участием других людей.

Мир информационный безопасности подвергался государственному регулированию с самых первых дней своего существования, хотя поначалу это регулирование не имело ничего общего с вопросами честной конкуренции. Первые действия касались нераспространения: государство использовало экспортные лицензии и контроль над финансированием исследований, чтобы ограничить доступ к криптографии на как можно более долгий срок. Этот процесс прекратился лишь к началу нынешнего века.

Ландфехр (Landwehr) описывает попытки правительства США разобраться с проблемой "лимонного рынка" в мире компьютерной безопасности, начатые в середине 1980-х. Во-первых, речь идет об исправлении схемы государственного тестирования и сертификации ПО (о так называемой "Оранжевой Книге", "Orange Book"), но это исправление лишь породило новые проблемы. Желание менеджеров упростить процесс сертификации самого свежего софта привело к тому, что производителям было достаточно показать, что процесс начат, хотя зачастую он так никогда и не заканчивался. Также возникали проблемы взаимодействия с системами союзников - Англии, Германии и пр.

Регулирование значительно улучшилось, когда неудачи рыночного механизма в индустрии информационной безопасности стали ясны. Евросоюз принял документ "Network Security Policy", который установил общеевропейский ответ на атаки на информационные системы. Это послужило началом применения экономических мер при планировании государственного управления. Другой пример: комментарии правительства Германии по поводу инициативы Trusted Computing. Они сильно повлияли на Trusted Computing Group, заставив ее согласиться с принципами членства, исключающими дискриминацию небольших предприятий. Недавно Еврокомиссия высказывала свои соображения об экономических последствиях механизмов безопасности Windows Vista.

По статье Росса Андерсона и Тайлера Мура "Information Security Economics - and Beyond"

Еще один важный вопрос, поднятый патриархом экономического анализа информационной безопасности Россом Андерсоном (Ross Anderson): кто отвечает за безопасность? Очевидно, что ответственность за безопасность должна возлагаться на того, кто имеет возможность ее обеспечивать. Однако в условиях, когда компьютер домохозяйки может использоваться для атаки на сайт Microsoft, а неграмотно настроенный SMTP-сервер - поставить под удар всю сеть, в которой он находится, это далеко не тривиальная проблема. Сколько вы готовы заплатить за то, чтобы обеспечить безопасность Microsoft? Думаю, немного. И уж конечно, вы практически ничем не рискуете, отказываясь от добровольной помощи редмондскому гиганту - Microsoft вряд ли будет судиться с вами в случае участия вашего компьютера в DDoS-атаке (как мы уже видели, бороться с отдельными участниками распределенной угрозы никто не будет, кроме разве что RIAA и MPAA, но этот клинический случай мы не рассматриваем).

В экономике такая ситуация известна под названием "трагедия ресурсов общего пользования" (Tragedy of the Commons) и описывается обычно так. Пусть 100 жителей деревни пасут своих овец на общинной земле. Если кто-то из них добавляет лишнюю овцу в свое стадо, он получает существенную выгоду, тогда как остальные 99 жителей страдают лишь от незначительного ухудшения состояния пастбища. Вряд ли они поднимут вой по этому поводу - скорее сами добавят по овце. Со временем такая стратегия приводит к безграничному росту общего числа овец и полному истощению земли.

Подобные ситуации, когда эгоистичные (или рациональные, что в данном случае одно и то же) действия отдельных участников сообщества по отношению к общественному ресурсу приводят к краху всей системы, наблюдаются в компьютерной безопасности буквально на каждом шагу. Общественным ресурсом в данном случае является общая безопасность информационной среды, стоимость которой распределяется между участниками. Например, пользователь локальной сети, купив соответствующее ПО и упрочив защиту своего компьютера, повышает общую безопасность.Однако стимул вкладывать личные деньги, по сути, в общее дело невелик: возникает соблазн подождать, когда это сделают другие (а они этого не сделают по тем же самым причинам). Аналогичным образом замена устаревших технологий новыми безопасными аналогами (например, DNSSEC вместо существующего DNS) идет черепашьими темпами: поскольку на начальном этапе (когда пользователей новой технологии немного) затраты велики, каждый участник рынка ждет, когда их возьмет на себя кто-то другой. Социальных механизмов борьбы с этим явлением пока не существует.