Как оценивать меры защиты

Если у безопасности бывает сезонное обострение, то оно наступило. После 11 сентября каждый двухбитовый проповедник информационных технологий выполз из-за рабочего стола со своими увещеваниями, как его продукт поможет нам всем снова почувствовать себя под защитой. Каждая невнятная и уже когда-то отвергнутая правительственная инициатива поднята с полки, очищена от пыли и представлена как единственная возможность для спасения нашего уклада жизни. Снова и снова широкой общественности предлагают делать выбор между решениями безопасности, взвешивать их издержки, принимать более навязчивые меры защиты.

К сожалению, широкая общественность не имеет представления, как всё это делать.

Но мы в индустрии информационной безопасности знаем. Мы делали это многие годы, мы делаем это всегда. И, мне кажется, мы можем научить и других это делать. Ниже следует мой безотказный пятиступенчатый подход к анализу безопасности. Можете прибегать к нему, чтобы оценить любые меры защиты.

• Этап первый: какую проблему решает данная мера защиты? Вы можете подумать, что это лёгкий этап, однако множество инициатив безопасности выдвигается вовсе без чётко поставленной проблемы. Государственные удостоверения личности – предложенное решение на неясную проблему. Повышенные меры электронной разведки в Интернет – представлены как жизненно важное требование безопасности, но без всяческого разъяснения, почему. (Я вижу проблему не в недостатке получаемой информации, а в невозможности анализа и интерпретации уже имеющейся.)

• Этап второй: насколько хорошо данная мера защиты решает проблему? Слишком часто анализ безопасности сразу перескакивает от постановки проблемы к теоретическому обоснованию решения без всякого рассмотрения того, насколько текущая технология в действительности способна решить поставленную задачу. Компании, проталкивающие системы автоматического распознавания внешности для аэропортов и других мест массового скопления народа, тратят всё своё время на разъяснения потенциалов идеальной системы, но упускают тот факт, что существующие системы работают столь жалко, что по сути оказываются бесполезны. Закрепление бесполётной зоны вокруг ядерного реактора имеет смысл только тогда, когда мы исходим из того, что угонщик самолёта будет соблюдать эту зону или что она достаточно большая, чтобы успеть среагировать, если он вдруг её соблюдать не будет.

• Этап третий: какие новые проблемы в безопасности влечёт данная мера защиты? Безопасность – это комплексная взаимосвязная система; измените в ней что-то одно, и эффект начнёт распространяться. Если правительство запрещает стойкую криптографию или требует встраивания "люков", получившийся ослабленный продукт оказывается более подверженным атакам злодеев. Введение государственных удостоверений личности требует наличия централизованной инфраструктуры, более подверженной злоупотреблениям. В действительности, рост числа похищений персональных данных можно связать с увеличением числа электронных удостоверений. Сделайте удостоверения более защищёнными от похищений с помощью повышенных мер безопасности, и это приведёт лишь удорожанию тех немногих украденных удостоверений и к упрощению их использования.

• Этап четвёртый: каковы издержки данной меры защиты? Издержки не только финансовые, но, равно, и социальные. Мы можем повысить безопасность, если запретим всю коммерческую авиацию. Мы можем сделать преступникам труднее скрыться от полиции, если потребуем от производителей ставить в автомобили лимитатор скорости на 40 миль/час. Но всё это слишком дорого обойдётся для общества. Система гос. удостоверений обойдётся в чудовищную цену. Новые правила, разрешающие полиции задерживать нелегальных иммигрантов на неограниченный срок без должных процессуальных процедур, дорого обходятся нам в плане свободы, и того же нам стоит "Патриотический акт". Мы не разрешаем пытки (по крайней мере официально). Почему? Иногда мера защиты, даже несмотря на свою эффективность, всё же не стоит связанных с ней издержек.

• Этап пятый: принимая во внимание ответы со второго по четвёртый, стоит ли данная мера защиты связанных с ней издержек? Это нетрудный этап, но слишком часто о нём даже не задумываются. Мере защиты недостаточно быть только эффективной. Наши ресурсы не бесконечны. Наше терпение не бесконечно. Как сообщество, мы должны делать то, что имеет наибольший смысл и что станет наиболее эффективным применением для нашего доллара.

Некоторые меры безопасности проходят эти тесты. Улучшение охраны плотин, резервуаров и других объектов инфраструктуры – это хорошая мысль. Запрет на стоянку посреди города железнодорожных цистерн, полных ядовитыми химикатами, уже давным-давно должен был быть утверждён. Новые планы эвакуации зданий тоже довольно уместны. Всё это примеры разумного использования наших ограниченных ресурсов на улучшение безопасности.

Этот пятиступенчатый анализ применим к любой мере безопасности, прошлой, настоящей или будущей:

1. Какую проблему она решает?
2. Насколько хорошо она решает проблему?
3. Какие новые проблемы она создаёт?
4. Каковы экономические и социальные издержки?
5. Учитывая предыдущее, стоит ли она того?

Начав им пользоваться, вы будете удивлены, насколько неэффективно большинство современных мер безопасности. Например, всего лишь две меры защиты, введённые на авиалиниях после событий 11 сентября, имеют какую-либо реальную ценность: укреплённая дверь в кабину пилотов и рекомендация для пассажиров давать отпор захватчикам. Всё прочее оказывается где-то между незначительным повышением безопасности и пустышкой-плацебо.