Шейн Харрис - Кибервойн@. Пятый театр военных действий

В итоге повышенная безопасность станет привлекательным потребительским качеством, особенностью, которую банки, интернет-провайдеры и другие компании, имеющие дело с персональными данными, будут использовать для привлечения клиентов точно так же, как автопроизводители используют в рекламных целях подушки безопасности и ABS. Фактически это уже происходит. American Express, которая долгое время позиционировала себя не столько как кредитную организацию, сколько как закрытый клуб, годовой взнос за членство в которой дает особенные привилегии (статус, более высокий кредитный лимит), в 2013 г. запустила на телевидении и в Интернете серию рекламных роликов, расхваливающих систему «информационной безопасности», которая отправляет оповещения на мобильный телефон клиента всякий раз, когда Amex регистрирует подозрительное списание, которое может оказаться мошенничеством. В одном из роликов опрятный, хорошо одетый горожанин, возвращаясь в свои элегантные апартаменты, проходил мимо охранников на входе в здание, будучи при этом в поле зрения камер наблюдения, а мимо пролетали полицейские машины. И закадровый комментатор спрашивал: «А кто обезопасит нас в сети, где мы тратим более двух миллиардов долларов ежегодно?» Ответ: «American Express обезопасит с помощью своего алгоритма, который изучает характер ваших личных трат и выявляет аномалии». (Между прочим, закадровый текст произносила актриса Клэр Дэйнс, которая сыграла в сериале Homeland канала Showtime роль оперативной сотрудницы ЦРУ, пытавшейся предотвратить очередную террористическую атаку в США.)

Конечно, кредитные компании уже много лет использовали системы обнаружения мошеннических операций, но позиционировать их как престижный и модный сервис они начали совсем недавно. Таким образом, компания реагировала на растущее понимание своих клиентов того факта, что они и их деньги уязвимы для киберпреступников. Наш стильный владелец кредитки получает оповещение на свой айфон и, стоя посреди оживленной улицы, сообщает American Express, что он не совершал девять секунд назад покупок в интернет-магазине электроники на сумму $1245. Он спокойно наслаждается обедом в кафе и уверенно кладет на стол свою карту Amex, зная, что он – «член более безопасного мира». Смысл этого ролика однозначен. Вы можете себя обезопасить. (И вам следует хотеть себя обезопасить.) Но это будет стоить вам денег.

В феврале 2014 г. Администрация Обамы выпустила ряд руководств и рекомендаций, описывающих практический опыт обеспечения кибербезопасности, и призвала компании прислушаться к ним. Однако Администрация не стала принуждать к их соблюдению, и внедрение этих рекомендаций оставалось для компаний делом добровольным. Как сказал высокопоставленный представитель Администрации, «в конечном счете именно рынок является двигателем бизнеса, и именно рынок определяет, будут ли компании следовать этим инструкциям или нет».

Вместе с тем коммерческие компании ответственны за большинство инноваций в сфере кибербезопасности – за появление новых средств и методов безопасного хранения данных и проведения кибератак на их противников. Компании, специализирующиеся на кибербезопасности, будут привлекать наиболее опытных и квалифицированных сотрудников, поскольку уровень зарплат в коммерческих фирмах намного выше, чем в государственных агентствах и военных ведомствах. Государство никогда не сможет предложить конкурентный уровень зарплат квалифицированным техническим специалистам. Государственные и военные ведомства будут привлекать талантливых сотрудников обещаниями необычной и полной приключений работы – шпионаж, военные операции – и будут апеллировать к чувствам долга и чести, которые всегда сопутствуют службе на благо общества. Однако этого будет недостаточно, чтобы справиться с теми проблемами безопасности, с которыми столкнется государство, особенно в гражданских агентствах, где иногда уровень безопасности все еще ужасающе низок. И в качестве примера вы скорее всего назовете Министерство по делам ветеранов, в котором регулярно теряли информацию о пациентах, в том числе их номера социального страхования и другие важные сведения, и вряд ли назовете ЦРУ, в котором используются довольно надежные методы защиты. Еще стоит отметить, что те государственные службы, где конфиденциальность информации о гражданах наиболее уязвима, как правило, защищены хуже остальных.

Агентства, которые не могут нанять собственных защитников, будут обращаться за услугами к корпорациям, в которых работают хорошо подготовленные бывшие военные или государственные служащие и руководители которых сами когда-то несли ответственность за множество государственных программ и операций по кибербезопасности. На государственную службу всегда смотрят как этап на пути к повышению личного благосостояния. Государственные агентства и военные ведомства теперь принимают во внимание тот факт, что большинство сотрудников остается на госслужбе достаточно долго, чтобы получить знания и навыки, высокий уровень доступа к секретной информации (необходимое требование для работы в сфере кибербезопасности) и собрать базу профессиональных контактов и знакомств, после чего они уходят работать в частный бизнес. Классическая текучка кадров между государственным и частным сектором. В будущем этот процесс ускорится.

Американские власти продолжат обмениваться секретными сведениями об угрозах с провайдерами, которые будут использовать полученные данные для сканирования трафика своих клиентов, а именно, ваших электронных писем, поисковых запросов, просмотренных вами сайтов. Конгрессу придется внести изменения в законодательство, чтобы подобный обмен сведениями с государственными органами мог осуществляться чаще, чем сейчас. Поставщики услуг, как и другие компании, которые работают с персональными данными, требуют гарантий того, что в случае передачи подобных сведений властям они не будут нести ответственность за нарушение тайны частной жизни, которая может возникнуть в подобной ситуации. Некоторые из этих компаний также хотят получить иммунитет на случай, если они не смогут отразить кибератаку и в результате будет нанесен физический ущерб или произойдет потеря информации. Как только провайдерам обеспечат подобную защиту от ответственности, государство будет ждать от них укрепления обороны киберпространства. Фактически инфраструктура киберпространства находится в руках приблизительно 5000 провайдеров и операторов связи, и предполагается, что они перестанут продавать доменные имена киберпреступникам, прекратят обслуживать известных или подозреваемых злонамеренных субъектов и начнут перенаправлять или перекрывать трафик во время крупных кибератак.