0

Иммунная система Интернета

НЬЮ-ЙОРК – Вирусы, фишинг, программы-шпионы, спам, атаки, направленные на отказ в обслуживании, бот-сети… Возможно, вам уже доводилось слышать эти слова, возможно, вы уже даже были жертвами этих действий, известно вам об этом самим или нет.

Я бы хотела наметить простой путь, который бы позволил обратиться (но не решить) к проблемам безопасности, и для которого не потребуется согласие всех правительств (или людей) относительно того, что же на самом деле является преступлением, и, тем более, для которого не нужна глобальная полиция или не имеющие законной силы глобальные соглашения. Если нам удастся улучшить общий уровень безопасности, то правительства смогут взяться за реальных преступников.

 1972 Hoover Dam

Trump and the End of the West?

As the US president-elect fills his administration, the direction of American policy is coming into focus. Project Syndicate contributors interpret what’s on the horizon.

Более качественный подход заключается в том, чтобы рассматривать компьютерную безопасность в качестве проблемы здравоохранения и экономики, где люди имеют право на самозащиту, но они должны платить за расходы, которые из-за них несут на себе другие. Мы должны дать людям возможность защищаться от других; препятствовать тому, чтобы невинные люди, действующие из благих намерений, могли подцепить вирус и нанести вред остальным; а также уменьшить количество стимулов и возможностей для злоумышленников причинять вред.

Все это звучит, как огромное количество сложных задач. Тем не менее, для всех этих задач существуют и эффективные решения, которым не требуется отслеживать каждого человека в сети, или идентифицировать пользователя для каждого обмена данными. Отслеживание идентификации пользователя не даст нам возможности поймать или остановить злоумышленника, и приведет к тому, что Интернет будет невозможно использовать. Мы не можем спасти киберпространство, уничтожая его открытость.

Чтобы безопасность осуществлялась эффективным образом, инициативу должны на себя взять те объекты, которые лучше всего для этого оборудованы – поставщики услуг Интернета (ПУИ). Это - опытные, в техническом отношении, организации, которые могут предоставить (в большей или меньшей степени) защиту пользователям и обнаруживать злоумышленников; у них установлен прямой (хотя и безличный) контакт со своими пользователями; и они борются за пользователей, так что в отличие от правительств, они сами пострадают в случае плохой работы.

ПУИ (а не правительства) должны обеспечивать основную безопасность – антивирусы, анти-фишинг, анти-спам, и т.п. – в качестве стандартного набора Интернет услуг. Сделать это не трудно. Множество антивирусных компаний конкурируют между собой за возможность предложить потребителям услуги по безопасности; каждый ПУИ мог бы выбрать одну из них, или предложить своим клиентам на выбор несколько компаний, например, три. Уловка заключается в том, чтобы заставить потребителей использовать эти инструменты, что потребует проведение информационной кампании, наряду с сообщениями по каналам общественного здравоохранения. Результаты должны напоминать нечто больше похожее на широко распространенное мытье рук, чем на систему, предназначенную для интенсивной терапии в больницах.

Что касается спама, ПУИ (включая поставщиков почтовых услуг) могли бы ограничить своим пользователям количество электронных писем, скажем, до 100 в день; если пойти дальше, то можно было бы ввести оплату или, по крайней мере, предоставление гарантийного залога, или же сдачу теста на правомерное поведение. В то же время, все ПУИ должны ввести систему идентификации электронной почты (существует два хороших стандарта, называемые Domain Keys (Ключи от домена) и SPF). Все это не для того, чтобы можно было читать почту любого человека, а чтобы не дать возможности злоумышленникам обманывать хороших людей с помощью «спуфинга».

ПУИ стали бы блокировать траффик тех ПУИ, которые не присоединились к коллективной системе безопасности, и довольно скоро их клиенты начали бы жаловаться на это, что вынудило бы их присоединиться к системе безопасности или оказаться в своеобразном подземном мире, откуда было бы сложно организовать атаку, поскольку никто бы не принимал их траффик. А поскольку ПУИ несут ответственность перед другими ПУИ, а не правительствами, то диссиденты и доносчики могли бы сохранять свою анонимность.

Что касается анти-фишинга и загрузок вредоносных программ, здесь существует множество услуг, которые отслеживают «плохие» сайты и предупреждают об этом пользователя. Пользователи все также смогут зайти на любой сайт, но, по крайней мере, они получают предупреждение, что попадают в опасную окружающую среду.

Google поступает так с результатами своего поиска, работая с StopBadware.org (я являюсь консультативным членом ее правления), а Mozilla Firefox и Internet Explorer от Microsoft предлагают похожую защиту. В любом случае, авантюрные пользователи и профессионалы смогут отказаться от патернализма, но только лишь заплатив за это ровно столько, сколько стоит страхование ответственности за риски, которые они представляют системе.

Смысл в том, чтобы создать экономические стимулы для сокращения киберпреступлений. Настоящих преступников это не остановит, однако такая система избавила бы остальных из нас от искушения, или же спасла бы от вероятности стать жертвой. С меньшим количеством жертв, преступления станут приносить меньший дход.

Существует несколько причин, почему этого до сих пор еще не произошло. Во-первых – это инерция, объединенная с идеализмом (или замаскированная под него): ошибочная идея о том, что в Интерне должна быть не только свобода слова, но и что он должен быть бесплатным. Тем не менее, создание инфраструктуры, защищающей людей, имеет определенную стоимость.

В самом деле, затраты – как для пользователей, так и для ПУИ – являются вторым препятствием. Задача заключается в том, чтобы определить эти затраты (как мы это сегодня делаем с загрязнением окружающей среды) и распределить их между людьми, которые могут – и которых можно заставить – их оплатить. В конце концов, мы соглашаемся с затратами на полицию и здравоохранение, включая не только больницы, но и чистую воду, безопасную пищу и т.д.

Как же нам удастся это сделать? ПУИ должны переложить эти затраты на своих клиентов. Но они этого не сделают, поскольку цена является основным инструментом конкуренции. Так что клиенты должны требовать предоставление безопасности в качестве одной из составляющих оказываемых им услуг, в то время как ПУИ должны держаться в стороне от тех ПУИ, которые не соответствуют требованиям.

Чтобы способствовать этому, кто-то должен инициировать судебный процесс – но не слишком многие! – против ПУИ, которые допускают нарушения. Целью должны быть ПУИ, которые умышленно работают с преступными клиентами, отказываясь рассматривать жалобы до такой степени, что неведение перестает быть уважительным оправданием.

Fake news or real views Learn More

Но затраты ПУИ также включают в себя и предупреждение людей о плохих сайтах, что требует, чтобы система норм и стандартов предупреждала владельцев взломанных вебсайтов с тем, чтобы они могли их починить или понять, что сайты подверглись атаке. Иметь такую систему относительно дорого, однако это дешевле, чем затраты связанные с ее отсутствием.

Такие изменения не смогли бы создать определенную цифровую нервную систему с централизованным мозгом, который мог бы решать все проблемы. Вместо этого, их результатом было бы нечто вроде иммунной системы конкурирующих ПУИ и развитие сетевых средств защиты, как местных, так и вездесущих. Это бы значительно улучшило общую ситуацию с компьютерной безопасностью: Обычные люди почувствовали бы себя в безопасности, а специалисты по правопорядку и безопасности могли бы сосредоточиться на более серьезных угрозах.