Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире

Абсолютной безопасности не существует, но не всегда это является проблемой. Только в Соединенных Штатах индустрия кредитных карточек теряет из-за мошенничества 10 миллиардов долларов в год, но ни Visa, ни MasterCard не собираются сворачивать бизнес. Ущерб от краж в магазинах Соединенных Штатов составляет от 10 до 26 миллиардов долларов в год, но при этом «утруска» (как это называется) редко становится причиной закрытия магазинов. Недавно мне понадобилось заверить документ у нотариуса: эта процедура использует самый слабый «протокол безопасности», который я видел когда-либо. Однако она прекрасно служит тем целям, ради которых была разработана.

После того как вы определили угрозы, вам предстоит сделать выбор: смириться с риском, постараться снизить его или застраховаться. Если нельзя полностью обезопасить себя, нужно управлять риском. Компании, выпускающие кредитные карточки, понимают это. Ущерб от мошенничества известен. Известно также, что потери, связанные с оплатой по телефону, приблизительно в пять раз больше потерь при непосредственных расчетах по сделке с использованием кредитной карточки и что потери от сделок в Интернете еще вдвое больше. (Многие издержки от фальшивок типа «карта не настоящая» несут торговцы, которые неактивно обращались за помощью при предъявлении счета.) Они выдвигают альтернативы Интернету, такие как SET, именно ввиду повышенного риска.

Закрытая система, подобная этой, – исключение. Мое первичное опасение относительно киберпространства состоит в том, что люди не понимают опасностей и слишком верят в способность технологии устранить их. Киберпространство где-то копирует физический мир, а где-то разительно от него отличается (см. главу 2). И продукты безопасности не могут в одиночку решить ее проблемы.

Необходимо изменить отношение к средствам безопасности. Сейчас средства защиты выдаются производителями за профилактические меры, способные полностью исключить возможность нападения. Хорошее шифрование якобы предотвращает подслушивание. Хороший брандмауэр якобы предотвращает нападения на сеть. И так далее.

Принцип предотвращения угроз более подходит для формирования политики национальной безопасности, чем для организации защиты в коммерческом мире. Бизнес почти всегда связан с риском, поэтому в реальном мире большее внимание уделяется средствам обнаружения и реагирования. Веб-сайты не нуждаются в абсолютно не поддающихся взлому паролях, достаточно, если они будут защищать от нападений большую часть времени. Нет необходимости создавать абсолютно надежные смарт-карты, достаточно, чтобы механизмы обнаружения и реагирования успевали сработать вовремя. (На самом деле и это не так уж важно: в системе кредитных карточек, где вращаются многие миллиарды, используются очень слабо защищенные карты с магнитной полосой и управляемые продавцом терминалы.)

Как только вы начинаете думать о безопасности подобным образом, все остальное разваливается на кусочки. Если безопасность служит для ухода от угроз, тогда она должна оправдывать вложенные деньги. Если безопасность – управление рисками, это становится способом повысить доход. Если компания способна вычислить, как управлять опасностью, которая может возникнуть при подключении к сети их системы, то она сможет захватить большую часть рынка. Если компания кредитных карточек сумеет спрогнозировать, как управлять рисками некоторого класса клиентов, то она сможет продавать большее количество кредитных карточек. Бизнес – это всегда риск, и более востребованы те люди, которые лучше умеют управлять рисками.

Безопасность старее компьютера И промышленность, выпускающая защитные средства, думает о контрмерах как способах управлять риском. Различие огромно. Уход от угроз – как черное и белое: или вы избегаете угрозы, или нет. Управление риском неоднозначно: вы или принимаете риск, или уменьшаете его, или страхуетесь.

Безопасный компьютер – тот, который вы застраховали.

Я считаю, что будущее компьютерной безопасности – за страхованием. Можно застраховаться от чего угодно: от кражи или вандализма, от того, что какой-нибудь выродок расстреляет ваших сотрудников, и т. д. Почему в таком случае не застраховаться от нарушения цифровой безопасности?

Крупные страховые компании не упускают такую возможность. Они разрабатывают различные аспекты страхования рисков, связанных с компьютерной безопасностью: страхование внутренних сетей, страхование от нападений, приводящих к отказу в обслуживании, от подмены веб-сайта при взломе. Это трудная задача, поскольку никто не знает, с какими рисками придется иметь дело.