Андреас Вайгенд - BIG DATA. Вся технология в одной книге

Подобные инициативы должны стать частью широкомасштабной целенаправленной работы по своевременному обнаружению брешей в системах защиты данных. Начиная с 2011 года Facebook предлагает денежную премию любому, кто обнаружит и сообщит компании о программной ошибке или зоне уязвимости. В рамках этой инициативы хакеры-энтузиасты обнаружили более двух тысяч ошибок, за что получили от компании премии на общую сумму более четырех миллионов долларов (что составляет лишь незначительный процент от общих затрат Facebook на безопасность [375]. Сумма премии каждому из «этичных» «белых» хакеров рассчитывалась исходя из оценки обнаруженного риска, а также из того, известно ли было о проблеме самой компании. На сегодняшний день самую большую премию в сумме 33 500 долларов получил бразилец, который смог взломать серверы Facebook через ошибку в программе, используемой для восстановления забытого пароля [376]. Не каждая компания, работающая с информацией, может позволить себе полноценный департамент безопасности, но привлекательная призовая программа способна оперативно и относительно недорого закрыть системные бреши.

Последствия хакерских атак выглядят особенно пугающе, когда речь идет об «интернете вещей». Огромное количество информации, которую анализируют компьютерные системы самолетов, поездов и автомобилей, а также повсеместное распространение компьютерных сетей, в том числе в жилых домах и больницах, влекут за собой физические риски для людей. В главе 4 мы говорили о том, как при помощи имитатора GPS-сигнала можно направить людей в нежелательное для них место. Преподаватель Университета штата Техас Тодд Хамфриз провел шокирующий эксперимент: используя радар-имитатор и удаленный контроллер, он перехватил управление яхтой при полном неведении ее экипажа [377]. В другом случае двое хакеров доказали, что могут дистанционно управлять джипом, проникнув в его рулевое управление, тормозную систему и трансмиссию через мультимедийную систему с выходом в интернет [378].

Подобные опыты меняют отношение компаний к цифровой безопасности. В 2015 году клиника Майо наняла с десяток лояльных «белых» хакеров, чтобы проверить на возможность взлома систему, управляющую сотнями устройств поддержания жизни пациентов по всей больнице. Результаты оказались поразительными и отрезвляющими. Устройства оказались крайне уязвимыми, причем настолько, что хакерам, многие из которых были звездами кибербезопасности, не хватило предоставленного недельного срока, чтобы разобраться со всеми изъянами в области защиты систем. Часть оборудования по-прежнему работала на паролях по умолчанию, оставшихся от заводских настроек, что для потенциального взломщика примерно равносильно полному отсутствию пароля [379]. Изучив доклад специалистов, клиника Майо пересмотрела свою закупочную политику и рабочие процедуры, предъявив к поставляемому медицинскому оборудованию жесткие требования правил безопасности. Но для системы здравоохранения в целом это нетипичный случай [380].

Слишком часто решения относительно сохранности данных принимаются на базе самой примитивной оценки экономического эффекта. Типичный пример такого мышления продемонстрировал в 2007 году топ-менеджер Sony Pictures, заявивший за пару месяцев до большого взлома системы компании, что не хочет «инвестировать 10 миллионов долларов ради того, чтобы избежать потерь на 1 миллион» [381]. Утечка обошлась куда дороже: одни только затраты на «расследование и восстановительные мероприятия» составили 15 миллионов долларов [382], а удар по репутации Sony наверняка стоил еще дороже. Одним из способов снижения затрат на обнаружение уязвимостей и программ работы с «белыми» хакерами является создание независимой отраслевой организации для проведения аудита и своего рода сертификации хакеров. При этом если пользователи будут настаивать на соблюдении высочайших стандартов безопасности, расходы компаний, не участвующих в работе такой организации, будут продолжать расти.

Получившие широкую известность утечки дают обобщенное представление о пяти элементах защиты данных, которые должны быть прозрачны для пользователей. Во-первых, это соблюдение минимальных требований, необходимых для работы в отрасли, таких как современное программное обеспечение с исправленными известными уязвимостями. Во-вторых, защита данных есть нечто большее, чем безопасность программы: она подразумевает работу с персоналом и создание корпоративной культуры, уважающей пользователей и их информацию. Внешний аудит может подтвердить соблюдение компанией общих «санитарно-гигиенических» требований и дать оценку процедур и практик в области безопасности, в том числе обучению людей технике информационной безопасности. В-третьих, команда «белых» хакеров может совершать регулярные попытки взлома сетей и компьютеров компании с целью обнаружения любых скрытых уязвимостей. В идеальном варианте аудиторы смогут оценивать время реакции на аномальную активность и предлагать конкретные усовершенствования, что послужит во благо и компании, и пользователям. В-четвертых, сохранность данных должна оцениваться на основе единых для всей отрасли стандартов и методик проверки. В-пятых, следует создать компетенцию оценки потенциального ущерба от утечки различных категорий данных. Ущерб от взлома систем автомобиля в процессе движения может привести к человеческим увечьям, несопоставимым по причиненному вреду с жульническими операциями по кредитной карточке.

В рамках программы проверки сохранности данных аудиторы будут ревизовать и тестировать работу компании, добавляя ей баллы за внедренные разумные практики. Пользователи смогут знакомиться с текущей суммарной оценкой и сопоставлять ее с оценками, полученными в предыдущих периодах. Улучшение результатов может указывать на инвестиции в инфраструктуру безопасности или на то, что обучение сотрудников со временем принесло свои плоды. Ухудшение может говорить о вновь выявленной уязвимости или о прохладном отношении к обучению новых сотрудников. Видеть тенденцию не менее полезно, чем знать текущую оценку.

Наконец, обнародование негативных результатов аудита сохранности данных или плохого рейтинга риска не должно освобождать инфопереработчика от любых юридических или этических обязательств по компенсации вреда, причиненного пользователям, в случае если утечка произошла по его халатности. Издержки такого рода инцидентов должны распределяться между теми, кто получал информацию, и теми, кто ее предоставлял. В противном случае компании вряд ли будут заинтересованы в совершенствовании безопасности на фоне низких показателей сохранности данных своих конкурентов, тем более в условиях, когда ущерб частному лицу невозможно соотнести с конкретной утечкой или иным сбоем защиты. В этой области власти или суды могут налагать штрафы или присуждать компенсации пользователям, если компании отказываются делать это добровольно.