Киберпространство США — HackZona.Ru
Киберпространство США
Киберпространство США
Тип статьи:
Со старой ХакЗоны.
Источник:
АМЕРИКАНСКОЕ КИБЕРПРОСТРАНСТВО: МОЖЕМ ЛИ МЫ ОТРАЗИТЬ НАПАДЕНИЕ? ЗАБУДЬТЕ: ПУСТОЙ ПИАРОВСКИЙ ДОКУМЕНТ СОДЕРЖИТ ТОЛЬКО РЕКОМЕНДАЦИИ
Брюс Шнайер
Сан-Хосе Меркьюри ньюз, Март 7, 2003
Шестьдесят страниц отчета о национальной стратегии безопасности киберпространства, подготовленного Белым домом, интересно читать, но они не помогут защитить киберпространство. Этот документ — результат консенсуса, поэтому в нем отсутствуют выводы, необходимые для радикального усиления защиты киберпространства. Консенсусы не работают при разработке защиты, и неизменно приводят к плохим решениям. Эти компромиссы являются вредными, потому что, чем больше сторон, которые участвуют в обсуждении, тем больше интересов, вступающих в конфликт с безопасностью. Консенсус не работает, потому что одна из важных сторон на этих переговорах — нападающая — ни с кем не заседает за столом переговоров. Они не ведут переговоры, и они не будут соблюдать никаких соглашений о безопасности.
Проекты плана включали сильные слова об уязвимости беспроводной связи, которые были удалены, потому что беспроводная индустрия не хотела выглядеть плохой. Проекты включали предложение, чтобы Интернет-провайдеры снабдили всех своих клиентов личными межсетевыми экранами; это было изъято, потому что провайдеры не хотели выглядеть плохими из-за того, что они ничего подобного не предприняли самостоятельно. Нет ничего в документе и о регулировании ответственности, потому что индустрия программных средств ничего не хочет.
И т.д., и т.п. В результате у вас документ, аналогичный тем, что вы получаете из отделов по связи с общественностью. Вы получаете много комментариев и мнений заинтересованных сторон. Вы получаете туманные идеи, которые звучат хорошо, но никого не оскорбляют. И, наконец, вы остаетесь с пустым документом, от которого мало толку, поскольку он не выдвигает никаких требований.
Большая часть документа заполнена рекомендациями и предложениями. По некоторым причинам, администрация Буша продолжает полагать, что можно усилить безопасность киберпространства просто, высказывая пожелания. Это правительство пыталось использовать эти методы и ранее, но они никогда не срабатывали. Бизнес подчиняется давлению: долги, рыночные силы, инструкции. Он не отвечает на умасливание.
Безопасность — понятие всеобъемлющее. Подобно воздуху, воде и радиоволнам, любой частный аспект ее использования любым индивидуумом затрагивает нас всех. Один из способов воспрепятствования деятельности, наносящей ущерб, — регулирование. Компании не прекратили слив токсичных отходов в реки, когда правительство просто просило их этого не делать. И те же компании прекратили слив, когда правительство объявило подобные действия вне закона.
Если американское правительство хочет улучшить безопасность киберпространства, то оно должно принимать меры. Я люблю те главы документа, в которых говорится о защите правительственных сетей, и направлениях по ее улучшению. Я люблю главы, в которых говорится о профилактике и обучении. Я надеюсь, что за этими рекомендациями существует реальное финансирование, и эти рекомендации — не только разглагольствование.
Но мы нуждаемся в большем. Правительство должно использовать свои значительную ресурсы, чтобы профинансировать создание надежных товаров. И правительство должно создать законы, устанавливающие ответственность компаний за создание ненадежных средств. Если вы вынудите компании силы создавать более надежную продукцию, вы будете удивлены, как быстро продукции станут более безопасными. Оставьте позитивные PR-акции различным промышленным и торговым организациям; это, в принципе, их работа.
Этот документ национальной стратегии — не закон, и не содержит никаких мандатов для правительственных агентств. Если правительство хочет обезопасить киберпространство, ему необходимо забыть о консенсусе. Оно оказывается перед необходимостью задевать людей. Оно оказывается перед необходимостью быть лидером.
Брюс Шнайер
Сан-Хосе Меркьюри ньюз, Март 7, 2003
Шестьдесят страниц отчета о национальной стратегии безопасности киберпространства, подготовленного Белым домом, интересно читать, но они не помогут защитить киберпространство. Этот документ — результат консенсуса, поэтому в нем отсутствуют выводы, необходимые для радикального усиления защиты киберпространства. Консенсусы не работают при разработке защиты, и неизменно приводят к плохим решениям. Эти компромиссы являются вредными, потому что, чем больше сторон, которые участвуют в обсуждении, тем больше интересов, вступающих в конфликт с безопасностью. Консенсус не работает, потому что одна из важных сторон на этих переговорах — нападающая — ни с кем не заседает за столом переговоров. Они не ведут переговоры, и они не будут соблюдать никаких соглашений о безопасности.
Проекты плана включали сильные слова об уязвимости беспроводной связи, которые были удалены, потому что беспроводная индустрия не хотела выглядеть плохой. Проекты включали предложение, чтобы Интернет-провайдеры снабдили всех своих клиентов личными межсетевыми экранами; это было изъято, потому что провайдеры не хотели выглядеть плохими из-за того, что они ничего подобного не предприняли самостоятельно. Нет ничего в документе и о регулировании ответственности, потому что индустрия программных средств ничего не хочет.
И т.д., и т.п. В результате у вас документ, аналогичный тем, что вы получаете из отделов по связи с общественностью. Вы получаете много комментариев и мнений заинтересованных сторон. Вы получаете туманные идеи, которые звучат хорошо, но никого не оскорбляют. И, наконец, вы остаетесь с пустым документом, от которого мало толку, поскольку он не выдвигает никаких требований.
Большая часть документа заполнена рекомендациями и предложениями. По некоторым причинам, администрация Буша продолжает полагать, что можно усилить безопасность киберпространства просто, высказывая пожелания. Это правительство пыталось использовать эти методы и ранее, но они никогда не срабатывали. Бизнес подчиняется давлению: долги, рыночные силы, инструкции. Он не отвечает на умасливание.
Безопасность — понятие всеобъемлющее. Подобно воздуху, воде и радиоволнам, любой частный аспект ее использования любым индивидуумом затрагивает нас всех. Один из способов воспрепятствования деятельности, наносящей ущерб, — регулирование. Компании не прекратили слив токсичных отходов в реки, когда правительство просто просило их этого не делать. И те же компании прекратили слив, когда правительство объявило подобные действия вне закона.
Если американское правительство хочет улучшить безопасность киберпространства, то оно должно принимать меры. Я люблю те главы документа, в которых говорится о защите правительственных сетей, и направлениях по ее улучшению. Я люблю главы, в которых говорится о профилактике и обучении. Я надеюсь, что за этими рекомендациями существует реальное финансирование, и эти рекомендации — не только разглагольствование.
Но мы нуждаемся в большем. Правительство должно использовать свои значительную ресурсы, чтобы профинансировать создание надежных товаров. И правительство должно создать законы, устанавливающие ответственность компаний за создание ненадежных средств. Если вы вынудите компании силы создавать более надежную продукцию, вы будете удивлены, как быстро продукции станут более безопасными. Оставьте позитивные PR-акции различным промышленным и торговым организациям; это, в принципе, их работа.
Этот документ национальной стратегии — не закон, и не содержит никаких мандатов для правительственных агентств. Если правительство хочет обезопасить киберпространство, ему необходимо забыть о консенсусе. Оно оказывается перед необходимостью задевать людей. Оно оказывается перед необходимостью быть лидером.
Комментарии