Свежий номер №21 (446) / Анализ мер безопасности Дата публикации: 06.06.2002 Брюс Шнайер, schneier@counterpane.com Если в истории безопасности есть глупое время, то мы в нем как раз и живем. После терактов одиннадцатого сентября разве только самый ленивый поставщик решений в отрасли не выполз из своей щели с новыми заявлениями о том, как его продукт (решение, технология, программа) вновь сделает нашу жизнь безопасной. Каждая правительственная инициатива в области безопасности - сколь бы крива изначально и скомпрометирована впоследствии она не была - вновь вытащена из кладовки на свет божий, отряхнута от пыли и представлена как Универсальный Спасатель Наших Жизней. Все чаще широкой общественности предлагается принимать решения, касающиеся безопасности, взвешивать «за» и «против» в этой области и примиряться с гораздо более навязчивой безопасностью. К сожалению, широкая общественность не имеет ни малейшего понятия, что со всем этим делать. Такое понятие имеем мы, специалисты в области компьютерной безопасности. Мы занимаемся этими проблемами постоянно. И я считаю, что мы способны научить остальных. Ниже изложена надежная методика анализа мер безопасности из пяти шагов. Ее можно использовать практически во всех случаях. Шаг 1: Какую проблему призвана решить предлагаемая мера безопасности? Вы можете подумать, что с этим все просто, однако слишком много инициатив в области безопасности представляются без ясно очерченной проблемы, которую они должны решать. Национальная идентификационная карточка (в США) - заявленное решение полностью отсутствующей проблемы. Возросшая активность по перехвату информации в Интернете была представлена во многих странах как жизненно важное требование национальной безопасности, но без всяких объяснений - зачем? Лично я вижу проблему не в недостатке информации, но в явной неспособности интерпретировать и анализировать ту информацию, которая уже есть. Шаг 2: Насколько хорошо предлагаемая мера безопасности решает проблему? Слишком часто в рассуждениях от проблемы переходят прямо к теоретическому обоснованию решения - без всякого анализа того, насколько хорошо (или плохо) решается эта проблема сейчас, существующими методами (технологиями). Компании, предлагающие компьютерные системы распознавания по лицу для аэропортов, все свое время тратят на вопли о том, как классно будут работать совершенные системы, совершенно упуская из виду, что сегодняшние системы работают настолько плохо, что практически бесполезны. Введение зоны запрета полетов вокруг АЭС имеет смысл только в случае, если угонщик самолета согласен соблюдать запрет или если зона достаточно велика для реагирования на действия угонщика, который не согласен. Шаг 3: К каким новым проблемам для безопасности приведет предлагаемая мера? Безопасность - это сложная система, состоящая из многих взаимозависимых элементов; стоит изменить один, как сторонние эффекты идут кругами по воде. Если правительство запрещает сильную криптографию или обязывает вставлять в криптосистемы «черные ходы», то получающиеся в результате более слабые системы гораздо легче поддаются атаке злоумышленников. Национальные идентификационные карточки требуют централизованной инфраструктуры, которая потенциально очень уязвима к злоупотреблениям. Рост незаконной подмены личности может быть связан с возросшим использованием электронных средств идентификации. И если мы просто затрудняем подмену личности посредством ужесточения некоторых мер безопасности, то это лишь обеспечит уменьшенному количеству захваченных идентификаторов большую ценность и большую легкость использования. Шаг 4: Каковы издержки, связанные с внедрением предлагаемой меры безопасности? Речь идет не только о финансовых издержках, но и о социальных. Можно повысить общественную безопасность путем запрещения коммерческой авиации. Можно затруднить бегство преступникам, если ввести физическое ограничение скорости доступных автомобилей до 60 км/час. Но такие меры будут стоить обществу слишком дорого. Национальная идентификационная карточка будет безумно дорогой в реализации. Новые правила, разрешающие полиции задерживать нелегалов на неопределенное время без решения суда, будут стоить нам слишком дорого в смысле гражданских свобод (что, впрочем, и происходит с вновь принятым в США законом The Patriot Act). Мы не разрешаем применять пытки (по крайней мере, официально). Почему? Да потому, что в некоторых случаях выгоды от мер безопасности (которые могут быть и эффективными сами по себе) в целом не перевешивают связанных с ними затрат. Шаг 5: Превосходят ли выгоды от применения меры, проанализированной на шагах 1-4, связанные с ней затраты? Это самый легкий вопрос, но им очень редко задаются. Просто эффективность недостаточна для решений в области безопасности. Мы не располагаем бесконечными ресурсами. Мы не располагаем безграничным терпением. Общество должно делать вещи в соответствии со здравым смыслом, заключающимся в наиболее эффективном использовании каждого доллара из бюджета безопасности. Некоторые меры безопасности проходят такие тесты. Повышенная безопасность вокруг дамб, резервуаров и иных опасных точек инфраструктуры - хорошая идея. Запрет на нахождение вагонов с опасными химикатами в черте городов должен был быть принят давным-давно. Новые планы эвакуации из зданий гораздо лучше тех, которые были раньше. Все это - хорошие примеры использования ограниченных ресурсов для увеличения безопасности. Итак, повторим: методика «Пять шагов» для анализа любой меры безопасности, в прошлом, настоящем или в будущем:
Как только вы начнете использовать эту методику, вы удивитесь, насколько неэффективно сегодня большинство мер безопасности. Например, лишь две из предложенных после 11 сентября мер авиационной безопасности имеют реальный смысл: укрепление двери в кабину летчиков и мотивация пассажиров к активному сопротивлению. Все остальное находится где-то между незначительным улучшением безопасности и плацебо.
|